Apple Tv, iPhone e iPod Touch: update urgenti

Gli ultimi giorni della scorsa settimana per Apple sono stati particolarmente intensi. Oltre all’atteso rilascio internazionale dell’iPhone 3G e all’attivazione dei servizi di MobileMe, la società di Cupertino ha anche dovuto provvedere alla distribuzione di alcuni aggiornamenti tesi a risolvere seri problemi di sicurezza in parte dei suoi dispositivi. Una scelta resa necessaria e improrogabile dall’alto numero di falle potenzialmente pericolose scoperte nel corso delle ultime settimane dagli sviluppatori di Apple o segnalate da terze parti.

L’aggiornamento più corposo ha interessato la seconda edizione di Apple TV, la base multimediale concepita per trasmettere anche su televisore i contenuti acquistati su iTunes o presenti nel proprio Mac. La patch 2.1 corregge sei falle ritenute seriamente critiche da parte degli esperti di sicurezza di Secunia. L’update scongiura la possibilità di un buffer overflow causato da una errata gestione dei file contenenti i film scaricati dall’iTunes Store o video appositamente creati per minare la sicurezza della Apple TV. Cupertino ha inoltre risolto una falla che poteva consentire a utenti malintenzionati di eseguire codice arbitrario non autorizzato attraverso l’apertura di un URL modificato a tale scopo, all’insaputa dell’utente.

La patch da poco rilasciata da Apple corregge, infine, una gestione errata del protocollo RTSP che, in alcuni casi, avrebbe potuto condurre a un buffer overflow del sistema, conseguenza che si sarebbe potuta verificare anche con l’eventuale apertura di alcune immagini nel formato PICT. Considerato il numero di falle coinvolte e la gravità di alcune di esse, l’aggiornamento alla nuova versione di Apple TV è caldamente consigliato e dovrebbe, comunque, avvenire in automatico alla prossima accensione del dispositivo.

Gli aggiornamenti di sicurezza rilasciati da Apple hanno anche interessato gli iPhone e gli iPod Touch dalla versione 1.0 alla 1.1.4. La patch porta i due dispositivi alla nuova edizione 2.0 e corregge numerose falle riscontrate nelle principali funzioni dei prodotti. Gli sviluppatori di Cupertino hanno posto rimedio a un bug in CFNetwork che avrebbe potuto consentire a un proxy, approntato appositamente, di simulare una connessione sicura esponendo l’utente a una possibile sottrazione di dati personali e password. L’aggiornamento risolve, inoltre, un problema nel Kernel dei due dispositivi che avrebbe potuto consentire un reset non autorizzato delle loro memorie. L’attacco si sarebbe potuto verificare in seguito all’invio di un pacchetto di dati appositamente modificato allo scopo.

Buona parte dell’aggiornamento alla nuova versione del software per iPhone e iPod Touch interessa Safari, il browser utilizzato dai due dispositivi per navigare nel Web. Una correzione nella visualizzazione dei caratteri nella barra degli indirizzi scongiura la possibilità di caricare una pagina simile a quella desiderata, ma in realtà creata con lo scopo di sottrarre dati e informazioni all’utente inconsapevole. La modifica nella gestione dei certificati per alcuni siti web consente ora un maggior grado di sicurezza, scongiurando la possibilità che i dispositivi accettino di default i certificati in particolari condizioni. La patch corregge poi una falla nella gestione di JavaScript, problema particolarmente serio che avrebbe potuto consentire a un utente malintenzionato di eseguire del codice arbitrario sui dispositivi all’insaputa dell’utente.

Sempre in Safari, l’update risolve un problema legato all’interpretazione delle pagine Web con particolari tag HTML che, in alcuni casi, avrebbe potuto portare a fenomeni di cross-site scripting, esponendo gli utenti a una sensibile diminuzione della sicurezza durante la navigazione in Rete. La patch corregge, infine, alcuni bug legati ai documenti XML, che avrebbero potuto portare al blocco dell’applicazione o all’esecuzione di codice arbitrario sui dispositivi. L’aggiornamento risolve anche alcuni problemi in WebKit, evitando anche in questo caso la possibilità di eseguire codice arbitrario da parte di terzi.

L’aggiornamento alle nuove versioni di iPhone e iPod Touch è caldamente consigliato da Apple e può essere effettuato tramite i tradizionali canali per l’update dei due dispositivi.